病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
23472
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒为Windows平台下针对于QQ聊天软件的木马型病毒,病毒运行后在后台检测/监视QQ帐号、密码、游戏币、Q币等信息,并将相关信息发送到病毒作者指定的网站。病毒通过伪装成系统正常服务来实现病毒开机自启动,而又不易被用户发觉。同时病毒具有网络自我升级功能。
病毒主要通过捆绑软件方式进行传播。
1、病毒运行后释放出以下几个文件:
%SysRoot%\system32\TempDll371.dll
%AppPath%\_Dll_Ins_DeleteMe__.bat
%SysRoot%\system32\Winmide32.dll
%SysRoot%\system32\wins\wins.lib
2、病毒通过添加如下服务来实现病毒开机自启动(这种添加自启动的方式使病毒更不易被发现):
服务名:ias
显示名称:ManagementInstrumentationDriverExtensions
描述:治理硬件并与驱动程序间交换系统治理信息。假如此服务被禁用,任何依靠它的服务将无法启动。
路径:%SysRoot%\system32\svchost.exe-knetsvcs
对应如下注册表部分:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IAS\Parameters]
"ServiceDll"="%SystemRoot%\System32\winmide32.dll"
3、病毒运行过程创建一个名为"GameTNewSvc3.29"的互斥对象.
4、病毒运行过程中查找以下进程,然后把病毒的"Winmide32.dll"加载到该进程中,以进行病毒的相关病毒行为:
services.exe
csrss.exe
winlogon.exe
lsass.exe
5、病毒代码插入相关进程后通过检测IE类名:""InternetExplorer_Server"
"来查找IE窗体,并通过查找窗体名中包含"腾讯客服中心"的方式加以判定是否打开了QQ客服的网页。
当网页打开时,病毒会尝试记录用户QQ的相关信息,如:密码保护资料,支付密码等等。
6、病毒还会通过枚举窗体名来判定用户登录QQ窗体,记录以下相关信息:
QQ密码
QQ号码
游戏币
自动登录选项
会员信息
7、病毒还会记录被感染病毒的用户机器的相关信息,如:计算机名、用户电脑配置、用户操作系统等等。
8、病毒具有远程控制功能,可以控制用户机器的重启、关机、删除进程。
9、病毒通过访问以下网站进行病毒更新,接收病毒收集的信息:
http://ww2.c***.cn/update.asp
http://ww1.c***.cn/update.asp
http://www.q***.net/update.asp
http://ww2.c***.cn/gamet/update.htm
http://ww1.c***.cn/gamet/update.htm
http://www.q***.net/gamet/update.htm
